Sélection de l’actualité de la semaine

 

Hacking & Sécurité

Le gouvernement américain renforce les conditions d’attribution du nom de domaine .gov

Un domaine en « .gov » est censé être exploité par des entités gouvernementales américaines officielles. On pouvait donc légitimement penser que les conditions nécessaires à l’enregistrement d’un site web en .gov faisaient l’objet de mesures de sécurité renforcées. Malheureusement, ce n’était pas le cas ; jusqu’à présent, la procédure établie par la General Service Administration (GSA) n’imposait qu’une lettre d’autorisation à en-tête officiel de l’organisation demandeuse, avec une signature de la personne justifiant de l’autorité suffisante au sein de cette organisation pour effectuer la démarche. La lettre devait inclure des contacts administratifs, de facturation et techniques, et l’inclusion d’un contact de sécurité n’était qu’une « pratique recommandée » mais non indispensable. Les candidats n’avaient plus qu’à envoyer par courriel ou fax (!) le courrier à la GSA. Brian Krebs a rapporté en novembre dernier une expérience réalisée par un chercheur (souhaitant rester anonyme) qui a testé la robustesse des contrôles de vérification de la GSA en adressant une fausse demande d’autorisation ; pour cela, il a utilisé l’en-tête de la ville d’Exeter, Rhode Island, a créé un compte Gmail et un numéro Google Voice afin de récupérer les informations nécessaires pour créer un faux document et obtenir un nom de domaine en .gov. Depuis lors, la loi DOTGOV Online Trust in Government Act d’octobre 2019 transférerait la gestion de l’ensemble du TLD à la Cybersecurity and Infrastructure Security Agency (CISA), et toutes les demandes d’enregistrements de nom de domaine en .gov doivent s’accompagner d’un document « certifié » (notarized, qui renvoie à une procédure spécifique aux Etats-Unis).

Microsoft donne des informations sur la faille Wormable Windows SMBv3

Microsoft a publié aujourd’hui sa mise à jour de sécurité mensuelle ; le Patch Tuesday de ce mois-ci couvre 117 vulnérabilités, dont 25 sont considérées comme critiques. Microsoft a notamment divulgué quelques informations sur une mise à jour de sécurité concernant une vulnérabilité liée à une exécution de code à distance de pré-autorisation « wormable« , i.e. qui peut se diffuser d’une victime à l’autre (comme un ver). La vulnérabilité se trouve dans le protocole de communication réseau Server Message Block 3.0 (SMBv3). La vulnérabilité (CVE-2020-0796) est due à une erreur lorsque le SMBv3 gère des paquets de données compressées malveillants, ce qui permet à des attaquants distants non authentifiés qui l’exploitent d’exécuter du code arbitraire dans le contexte de l’application. Correctement exploitée, la CVE-2020-0796 pourrait permettre à des attaquants distants de prendre le contrôle total des systèmes vulnérables. En raison de la discrétion de Microsoft sur cette faille, plusieurs théories concernant sa gravité et sa portée ont déjà vu le jour, certains n’hésitant pas à la comparer à EternalBlue, NotPetya, WannaCry ou MS17-010. SMBv3 a été introduit dans les versions Windows 8 et Windows Server 2012, et la vulnérabilité affecte les versions Desk et Servers de Windows 1903 & 1909. [EDIT] Microsoft a publié un patch en urgence pour la vulnérabilité.

[EDIT BIS] Nos collègues de Synacktiv ont publié une analyse détaillée de la vulnérabilité que nous vous invitons à découvrir.

La vulnérabilité CVE-2020-0688 sur les serveurs Microsoft Exchange activement recherchée par les attaquants

Le 25 février, les équipes de Zero Day Initiative rapportaient une vulnérabilité présente sur les serveurs Microsoft Exchange. Présente dans le panneau de configuration Exchange (ECP), la vulnérabilité (CVE-2020-0688) est dû à l’incapacité d’Exchange à créer des clés de chiffrement uniques lors de l’installation. La connaissance des clés de chiffrement permet donc aux attaquants authentifiés d’exécuter du code à distance avec les privilèges SYSTEM sur un serveur exploité et de le compromettre pleinement.

Si Microsoft a depuis poussé un patch permettant de corriger la vulnérabilité en jouant des clés de chiffrement aléatoires, la recherche de serveurs non mis à jour a connu un pic d’activité depuis la parution de la vulnérabilité ; en effet, tous les utilisateurs ayant une boîte mail Exchange peuvent s’authentifier auprès du serveur même s’ils ont des privilèges limités – ce qui n’est pas un obstacle pour un attaquant puisque l’authentification est la seule condition pour une exploiter la vulnérabilité. Pour exploiter cette faille, les attaquants n’ont qu’à trouver des serveurs vulnérables accessibles sur Internet, rechercher les adresses e-mail qu’ils collectent à partir de l’URL du portail Outlook Web Access (OWA) et les comparer avec des leaks existants pour retrouver des authentifiants. Certains chercheurs en cybersécurité ont alerté sur le fait que des outils open-source permettent de récupérer les adresses e-mails via certains sites webs (Linkedin, notamment) puis de retrouver les mots de passe des utilisateurs « car Exchange Server stocke les informations d’identification de l’utilisateur en mémoire en texte brut sans hachage ». Pour éviter le pire, la seule solution est de patcher les serveurs avant que les attaquants n’en prennent le contrôle.

Bientôt sur vos écrans, Load Value Injection : Fear The Microarchitectural Security

Load Value Injection (LVI) est une nouvelle vulnérabilité découverte par des équipes de Worcester Polytechnic Institute, imec-DistriNet/KU Leuven, Graz University of Technology, University of Michigan, University of Adelaide et Data61. Cette faille est similaire à Spectre et Meltdown ; la différence réside dans le fait que sa correction, cette fois, implique une perte de performance des processeurs énorme,  celle-ci peut en effet être divisée de 2 à 19 fois. L’attaque permet le vol de données sensibles (clefs de chiffrement, certificats, mots de passe…) stockées dans l’enclave sécurisée du processeur (enclave SGX). Outre le côté très technique de la vulnérabilité et de la difficulté de son exploitation, ce qui retient l’attention est le marketing mis en place autour de la vulnérabilité : un « teaser » présentant la découverte a été réalisé exprès, reprenant tous les codes des séries télés ou des films hollywoodiens. On assiste à une surenchère de la publicité de l’annonce de la découverte de vulnérabilités depuis HeartBleed, ce qui tend à confirmer que la cybersécurité change de dimension et n’est plus réservée qu’aux spécialistes, mais qu’elle s’affichera désormais aux yeux de tous.

Avast contraint de désactiver l’émulateur Javascript de ses antivirus

L’éditeur de logiciel antivirus Avast a annoncé hier la désactivation de son émulateur JavaScript sur l’ensemble des postes qu’il protège. L’émulateur sert à analyser le code JavaScript avant de l’autoriser à s’exécuter dans les navigateurs ou les clients de messagerie. Une vulnérabilité découverte par l’équipe de Google Project Zero permet en effet d’exécuter du code arbitraire sur les machines où la solution d’Avast est installée, et donc potentiellement prendre le contrôle de l’ordinateur, des données qu’il contient, voire des systèmes d’information desquels il fait partie. D’après l’éditeur, ce changement ne doit pas impacter la sécurité globale de la solution. La présence initiale de l’émulateur peut s’expliquer par la course effrénée à une couverture toujours plus large de cas exotiques et la propension des utilisateurs à choisir un antivirus pour lesquels un maximum d’évènements est détecté.

 

Données personnelles

Whisper, conçu pour partager des « secrets », échoue à garder ses utilisateurs anonymes

Le Washington Post a révélé que Whisper, une application américaine qui permet de partager ses « secrets » en postant des messages anonymes, exposait publiquement une base de données qui contenait les informations et données personnelles des utilisateurs. La base de données était accessible depuis Internet, sans authentification ou mot de passe. Les chercheurs de Twelve Security, qui ont découvert la faille, ont pu accéder aux données de plus de 900 millions d’utilisateurs de l’application, de 2012 à aujourd’hui. Lauren Jamar, vice-présidente du contenu et de la sécurité de la société mère de Whisper, MediaLab, a déclaré dans un communiqué que la société avait fortement contesté les conclusions des chercheurs ayant découvert la base de données exposée. Les messages et leurs liens avec les emplacements, les âges et d’autres données, a-t-elle dit, représentaient ‘une caractéristique de l’application destinée aux consommateurs que les utilisateurs peuvent choisir de partager ou de ne pas partager’. Elle n’a cependant pas précisé si il était normal que les données de tous les utilisateurs puissent être téléchargées de cette manière, comme c’est le cas. Dans tous les cas, il serait peut-être urgent que les équipes de Whisper revoient leurs configurations de sécurité pour enfin donner raison au slogan de l’application : « safest place on the Internet ».

La CNIL annonce les secteurs prioritaires pour ses contrôles de conformité en 2020

En 2020, en complément des contrôles faisant suite à des plaintes, à des sujets révélés dans l’actualité ou à des mesures correctrices, la CNIL va axer son action de contrôle sur 3 thématiques prioritaires en lien avec les préoccupations quotidiennes des Français : les données de santé, la géolocalisation pour les services de proximité ainsi que les cookies et autres traceurs.

Géopolitique

Microsoft porte un coup sévère au botnet Necurs

La semaine dernière, les équipes de Microsoft ont réussi à casser l’algorithme utilisé par le botnet Necurs pour générer automatiquement de nouveaux domaines ; elles en ont déduit plus de six millions de domaines uniques qui allaient être créés au cours des deux années à venir. Microsoft a ensuite signalé ces domaines à leurs registres respectifs dans les pays du monde entier afin que les sites Web puissent être bloqués et ainsi les empêcher de faire partie de l’infrastructure Necurs. En prenant le contrôle des sites Web existants et en empêchant la possibilité d’en enregistrer de nouveaux, les équipes de Microsoft ont considérablement affaibli le réseau. Le botnet Necurs est soupçonné d’être exploité par des criminels basés en Russie et a été utilisé pour un large éventail d’activités illégales : scams, spams, ransomwares, malwares, cryptomining, et même une capacité DDoS (déni de service distribué) qui n’avait cependant pas été activée jusqu’à présent. Microsoft note même que le botnet a été loué comme « botnet-as-a-Service ». Les équipes de Microsoft ont identifié le botnet Necurs pour la première fois en 2012 et l’ont vu distribuer plusieurs malwares, dont le cheval de Troie bancaire GameOver Zeus.

 

Y’a plus, je laisse ?

Un site web proposant une carte de diffusion du coronavirus utilisée pour propager des logiciels malveillants

Des chercheurs de MalwareBytes Labs ont trouvé un stratagème intelligent pour cacher un malware du type « voleur d’informations » derrière un site Web censé afficher l’évolution des cas de coronavirus sur une carte du monde. Malwarebytes a initialement détecté le malware qui portait le nom de fichier (peut-être trop évident) «corona.exe», sous le nom de Trojan.Corona. Après une analyse plus approfondie, les équipes ont découvert que le malware était en fait une variante d’AzorUlt, une famille de logiciels espions qui vole des informations et télécharge parfois des logiciels malveillants supplémentaires.

L’occasion de rappeler les mesures d’hygiène recommandées pour lutter contre la propagation du Covid-19 : se laver les mains régulièrement, tousser ou éternuer dans le coude, utiliser des mouchoirs à usage unique et les jeter, porter un masque si vous êtes malade, et ne pas cliquer sur n’importe quel lien sur Internet.